Consulta sobre OpenVPN y Shorewall

[OddieX]

Estimados, hace tiempo me estoy volviendo loco y no puedo lograr hacer
que shorewall me filtre los clientes de OpenVPN!!

Les cuento como viene la cosa:

Tengo mi OpenVPN con la siguiente configuracion:

 server.cfg 
script-security 2
port 1194
proto udp
dev tun0
management localhost 7794
crl-verify /etc/openvpn/easy-rsa/keys/crl.pem
ca /etc/openvpn/keys/ca.crt
cert /etc/openvpn/keys/server.crt
key /etc/openvpn/keys/server.key
dh /etc/openvpn/keys/dh2048.pem
plugin /usr/lib/openvpn/openvpn-auth-ldap.so auth/auth-ldap.conf
username-as-common-name
auth-user-pass-verify auth/auth.pl via-env
server 10.21.0.0 255.255.0.0
ifconfig 10.21.0.1 255.255.0.0
client-config-dir /etc/openvpn/ccd
ifconfig-pool-persist ipp.txt
client-to-client
keepalive 10 120
comp-lzo
max-clients 200
persist-key
persist-tun
status /var/log/openvpn/openvpn-status.log
log /var/log/openvpn/openvpn.log
log-append  /var/log/openvpn/openvpn.log
verb 5
ping-restart 0


El archivo ccd de mi usuario es:

 marc.ccd 
ifconfig-push 10.21.44.85 10.21.44.86
push "route 192.168.0.0 255.255.255.0"
push "route 172.16.0.0 255.255.0.0"
push "route 192.168.254.0 255.255.255.0"


Hasta aqui todo bien, llego bien a la LOC (asi llame a mi red local en
shorewall) y a la DMZ.
Si pongo en las rules de shorewall:
DROP  vpn:10.21.44.85 dmz all
Me bloquea perfectamente!

Pero si pongo:
DROP vpn:10.21.44.85 loc all
No surte efecto, y de echo agregue info en todas las polices y no
tengo informacion de nada sobre ese IP en los logs!!!


En el shorewall lo tengo configurado asi:

 tunnels 
openvpnserver:1194  dmz0.0.0.0/0
###

 interfaces 
-tun0detect  tcpflags
#

 hosts 
vpn tun0:10.21.0.0/16
#

 zones 
vpn ipv4
#


Intente agregar un host que sea vpn44 con el rango de mi IP, ya que
uso multiples subnets porque uso la topology vieja de OpenVPN net30 y
me quedaba corto con los hosts, agregue las polices en DROP, reglas y
demas, y sigue pasando lo mismo!


Alguien sabe que puede ser lo que este sucediendo? Ya me estoy
comiendo la cabeza y no logro hacerlo funcionar!!!


Desde ya agradezco toda informacion que sea util!!!


Saludos!
MarC

Re: consulta sobre openvpn

[Altair Linux]

http://openvpn.net/index.php/open-source/documentation.html

Re: consulta sobre openvpn

[ZorroPlateado]

El 09/08/11 07:36, gnuino angeles escribió:

Hola,
me pueden dar una ayuda, necesito configurar un servidor VPN.
Alguien me puede dar algún alcance para este servicio?
Necesito conectar la red de un cliente a la red donde me encuentro,
ellos tienen una solución vpn con juniper.
Es posible realizar esta conectividad con OpenVPN???

saludos




Claro que se puede, como te han apuntado ya te toca leer doc.

Yo lo tengo montado y permito que los currantes que se mueven fuera de 
la oficina conecten a ella, yo mismo estoy a muchos km de la oficina y 
anteriormente conectaba con ssh pero la red por el motivo que sea 
producía cortes en dicha conexión de manera aleatoria,,, ahora con 
openvpn trabajando en UDP no se cortan las conexiones ssh, tengo acceso 
a las impresoras y puestos de la red LAN, etc



--
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org
Archive: http://lists.debian.org/4e40e081.2040...@gmail.com

Re: consulta sobre openvpn

[gnuino angeles]

gracias por el dato

2011/8/9 ZorroPlateado i32lelor.deb...@gmail.com

 El 09/08/11 07:36, gnuino angeles escribió:

  Hola,
 me pueden dar una ayuda, necesito configurar un servidor VPN.
 Alguien me puede dar algún alcance para este servicio?
 Necesito conectar la red de un cliente a la red donde me encuentro,
 ellos tienen una solución vpn con juniper.
 Es posible realizar esta conectividad con OpenVPN???

 saludos



 Claro que se puede, como te han apuntado ya te toca leer doc.

 Yo lo tengo montado y permito que los currantes que se mueven fuera de la
 oficina conecten a ella, yo mismo estoy a muchos km de la oficina y
 anteriormente conectaba con ssh pero la red por el motivo que sea producía
 cortes en dicha conexión de manera aleatoria,,, ahora con openvpn trabajando
 en UDP no se cortan las conexiones ssh, tengo acceso a las impresoras y
 puestos de la red LAN, etc


 --
 To UNSUBSCRIBE, email to 
 debian-user-spanish-REQUEST@**lists.debian.orgdebian-user-spanish-requ...@lists.debian.org
 with a subject of unsubscribe. Trouble? Contact
 listmas...@lists.debian.org
 Archive: 
 http://lists.debian.org/**4e40e081.2040...@gmail.comhttp://lists.debian.org/4e40e081.2040...@gmail.com




-- 
Miguel Angel Angeles Ramon
Asesoria en Conectividad y Servidores
Movil 994606059

consulta sobre openvpn

[gnuino angeles]

Hola,
me pueden dar una ayuda, necesito configurar un servidor VPN.
Alguien me puede dar algún alcance para este servicio?
Necesito conectar la red de un cliente a la red donde me encuentro, ellos
tienen una solución vpn con juniper.
Es posible realizar esta conectividad con OpenVPN???

saludos

Re: Consulta sobre OpenVPN

[Daniel Bareiro]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Hola Angel.

El martes 27 de octubre del 2009 a las 23:48:26 -0300,
Angel Claudio Alvarez escribió:

 proba con esto
 http://www.openvpn.net/index.php/open-source/documentation/howto.html#redirect

Te cuento que ya lo pude solucionar hace unos días, y aunque recién leo
tu respuesta la solución tiene que ver con algo de lo que dice allí,
aunque no con todo.

El tema era tener en el host donde se encuentra instalado el servidor
OVPN habilitado IP forwarding (cosa que ya estaba) y agregar una regla
Netfilter para que realice masquerading (que era lo que estaba
faltando):

# iptables -t nat -A POSTROUTING -s 10.8.0.0/24 -o eth0 -j MASQUERADE


No hacía falta agregar alguna ruta estática en el firewall, así que la
saque.

Gracias por responder.

Saludos,
Daniel

-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.10 (GNU/Linux)

iEYEARECAAYFAkr2IZkACgkQZpa/GxTmHTe6OQCeLILhy10CWvPpoNF8AvvT57YL
kz0An2Hmrdcf0+etkWKkH13XFK1AM8U9
=yfku
-END PGP SIGNATURE-


-- 
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Consulta sobre OpenVPN

[Daniel Bareiro]

-BEGIN PGP SIGNED MESSAGE-
Hash: SHA1

Hola!

Estuve haciendo un primer intento de levantar una VPN entre casa y la
oficina. El escenario desde el lado de casa es el siguiente:
  
+--+ +---+ +--+  /\___
| Servidor |_| Firewall  |_| Router   |_/ Internet\
| OpenVPN  | | GNU/Linux | | ADSL | \ /
+--+ +---+ +--+  \___/

Red local: 10.1.0.0/24
Red VPN:   10.8.0.0/24

En cuanto a la configuración en el firewall con GNU/Linux (usando
Shorewall), solo agregué una regla de DNAT al servidor OpenVPN. Creo que
es lo único que estaría haciendo falta.

Además de esto, en el router agregué una regla que haga forwarding del
tráfico proveniente de su propia WAN con puerto 1194 a la interfaz que
tiene en el otro extremo que da con el firewall GNU/Linux.

Hasta acá, levantando un cliente OpenVPN en la oficina pude comprobar
que el túnel queda establecido, pero solo estoy pudiendo llegar al
servidor OpenVPN. El resto de los hosts de mi red local están
inalcanzables.

La siguiente es una captura con tcpump en el servidor OpenVPN al hacer
un ping desde la oficina a uno de los hosts de casa:

# tcpdump -i tun0
tcpdump: WARNING: arptype 65534 not supported by libpcap - falling back to 
cooked socket
tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
listening on tun0, link-type LINUX_SLL (Linux cooked), capture size 96 bytes
07:08:17.231084 IP 10.8.0.6  ns1.freesoftware.org: ICMP echo request, id 
47698, seq 1, length 64
07:08:18.233021 IP 10.8.0.6  ns1.freesoftware.org: ICMP echo request, id 
47698, seq 2, length 64
07:08:19.231793 IP 10.8.0.6  ns1.freesoftware.org: ICMP echo request, id 
47698, seq 3, length 64

Parece ser que estuviera faltando la vuelta.

Entonces, investigando un poco en Internet, probé agregando lo siguiente:

* Agregar en mi firewall GNU/Linux una regla para que todo el tráfico
  que vaya a la red 10.8.0.0/24 sea alcanzado a través de la IP del
  servidor OpenVPN:

  # route add -net 10.8.0.0 netmask 255.255.255.0 gw 10.1.0.4

* Habilitar forwarding en el servidor OpenVPN:

  # echo 1  /proc/sys/net/ipv4/ip_forward

Y volví a hacer la prueba:

07:13:17.213590 IP 10.8.0.6  ns1.freesoftware.org: ICMP echo request, id 
55380, seq 1, length 64
07:13:17.213942 IP ns1.freesoftware.org  10.8.0.6: ICMP echo reply, id 55380, 
seq 1, length 64
07:13:18.215097 IP 10.8.0.6  ns1.freesoftware.org: ICMP echo request, id 
55380, seq 2, length 64
07:13:18.215433 IP ns1.freesoftware.org  10.8.0.6: ICMP echo reply, id 55380, 
seq 2, length 64
07:13:19.215920 IP 10.8.0.6  ns1.freesoftware.org: ICMP echo request, id 
55380, seq 3, length 64
07:13:19.216272 IP ns1.freesoftware.org  10.8.0.6: ICMP echo reply, id 55380, 
seq 3, length 64

De esta manera ya pude llegar con ping/nmap a los otros hosts de la red.
Pero en pruebas que estuve haciendo hay momentos en que al intentar
loguearme por ssh podía hacerlo y en otros momentos no pudiendo
comprobar que cuando era incapaz de hacerlo tcpdump mostraba un problema
similar al que comentaba más arriba.

Me da la impresión que sigue existiendo algún problema de ruteo en alguna
parte. Si se les ocurre algo que me pueda iluminar, será bienvenido ;-)

Gracias anticipadas por responder.

Saludos,
Daniel

-BEGIN PGP SIGNATURE-
Version: GnuPG v1.4.10 (GNU/Linux)

iEYEARECAAYFAkrnk5gACgkQZpa/GxTmHTdu/gCfUexCAoJK1IZyzdUsAEgeZiiu
VxwAnRLMMy7BpiqqdHsozuQKsAVHeq0j
=QzEF
-END PGP SIGNATURE-


-- 
To UNSUBSCRIBE, email to debian-user-spanish-requ...@lists.debian.org
with a subject of unsubscribe. Trouble? Contact listmas...@lists.debian.org

Re: Consulta sobre OpenVPN

[Angel Claudio Alvarez]

El mar, 27-10-2009 a las 21:42 -0300, Daniel Bareiro escribió:
 -BEGIN PGP SIGNED MESSAGE-
 Hash: SHA1
 
 Hola!
 
 Estuve haciendo un primer intento de levantar una VPN entre casa y la
 oficina. El escenario desde el lado de casa es el siguiente:
   
 +--+ +---+ +--+  /\___
 | Servidor |_| Firewall  |_| Router   |_/ Internet\
 | OpenVPN  | | GNU/Linux | | ADSL | \ /
 +--+ +---+ +--+  \___/
 
 Red local: 10.1.0.0/24
 Red VPN:   10.8.0.0/24
 
 En cuanto a la configuración en el firewall con GNU/Linux (usando
 Shorewall), solo agregué una regla de DNAT al servidor OpenVPN. Creo que
 es lo único que estaría haciendo falta.
 
 Además de esto, en el router agregué una regla que haga forwarding del
 tráfico proveniente de su propia WAN con puerto 1194 a la interfaz que
 tiene en el otro extremo que da con el firewall GNU/Linux.
 
 Hasta acá, levantando un cliente OpenVPN en la oficina pude comprobar
 que el túnel queda establecido, pero solo estoy pudiendo llegar al
 servidor OpenVPN. El resto de los hosts de mi red local están
 inalcanzables.
 
 La siguiente es una captura con tcpump en el servidor OpenVPN al hacer
 un ping desde la oficina a uno de los hosts de casa:
 
 # tcpdump -i tun0
 tcpdump: WARNING: arptype 65534 not supported by libpcap - falling back to 
 cooked socket
 tcpdump: verbose output suppressed, use -v or -vv for full protocol decode
 listening on tun0, link-type LINUX_SLL (Linux cooked), capture size 96 bytes
 07:08:17.231084 IP 10.8.0.6  ns1.freesoftware.org: ICMP echo request, id 
 47698, seq 1, length 64
 07:08:18.233021 IP 10.8.0.6  ns1.freesoftware.org: ICMP echo request, id 
 47698, seq 2, length 64
 07:08:19.231793 IP 10.8.0.6  ns1.freesoftware.org: ICMP echo request, id 
 47698, seq 3, length 64
 
 Parece ser que estuviera faltando la vuelta.
 
 Entonces, investigando un poco en Internet, probé agregando lo siguiente:
 
 * Agregar en mi firewall GNU/Linux una regla para que todo el tráfico
   que vaya a la red 10.8.0.0/24 sea alcanzado a través de la IP del
   servidor OpenVPN:
 
   # route add -net 10.8.0.0 netmask 255.255.255.0 gw 10.1.0.4
 
 * Habilitar forwarding en el servidor OpenVPN:
 
   # echo 1  /proc/sys/net/ipv4/ip_forward
 
 Y volví a hacer la prueba:
 
 07:13:17.213590 IP 10.8.0.6  ns1.freesoftware.org: ICMP echo request, id 
 55380, seq 1, length 64
 07:13:17.213942 IP ns1.freesoftware.org  10.8.0.6: ICMP echo reply, id 
 55380, seq 1, length 64
 07:13:18.215097 IP 10.8.0.6  ns1.freesoftware.org: ICMP echo request, id 
 55380, seq 2, length 64
 07:13:18.215433 IP ns1.freesoftware.org  10.8.0.6: ICMP echo reply, id 
 55380, seq 2, length 64
 07:13:19.215920 IP 10.8.0.6  ns1.freesoftware.org: ICMP echo request, id 
 55380, seq 3, length 64
 07:13:19.216272 IP ns1.freesoftware.org  10.8.0.6: ICMP echo reply, id 
 55380, seq 3, length 64
 
 De esta manera ya pude llegar con ping/nmap a los otros hosts de la red.
 Pero en pruebas que estuve haciendo hay momentos en que al intentar
 loguearme por ssh podía hacerlo y en otros momentos no pudiendo
 comprobar que cuando era incapaz de hacerlo tcpdump mostraba un problema
 similar al que comentaba más arriba.
 
 Me da la impresión que sigue existiendo algún problema de ruteo en alguna
 parte. Si se les ocurre algo que me pueda iluminar, será bienvenido ;-)
 
 Gracias anticipadas por responder.
 

proba con esto
http://www.openvpn.net/index.php/open-source/documentation/howto.html#redirect

 Saludos,
 Daniel
 
 -BEGIN PGP SIGNATURE-
 Version: GnuPG v1.4.10 (GNU/Linux)
 
 iEYEARECAAYFAkrnk5gACgkQZpa/GxTmHTdu/gCfUexCAoJK1IZyzdUsAEgeZiiu
 VxwAnRLMMy7BpiqqdHsozuQKsAVHeq0j
 =QzEF
 -END PGP SIGNATURE-
 
 



signature.asc
Description: Esta parte del mensaje está firmada digitalmente